PROTECTION DES DONNÉES A CARACTERE PERSONNEL

Mise à jour : Février 2022

Les Parties conviennent que le traitement des Informations personnelles en vertu du présent Contrat ou en rapport avec celui-ci sera conforme à la présente Annexe. 

DEFINITIONS 

« Information personnelle » désigne : toute donnée à caractère personnel telle que : le  prénom et/ou le nom, les initiales, les coordonnées professionnelles, les adhésions à des  groupes, le numéro d'identification du réseau ou de l'utilisateur, les identifiants de connexion,  les antécédents professionnels et les compétences, le sexe ou le titre, la participation à des  événements des employés de GSK et des travailleurs complémentaires utilisant les Services. 

« Information personnelle de GSK » :désigne toute Information personnelle : utilisée aux  fins des Produits et/ou Services qui est fournie par ou pour le compte de GSK au Fournisseur (y compris lorsque le Fournisseur a accès aux données personnelles détenues par GSK ou  pour son compte), ou que le Fournisseur recueille ou génère pour le compte de GSK, qui est  traitée par le Fournisseur en vertu du présent Contrat ou en rapport avec celui-ci, et au titre  de laquelle GSK est responsable ou propriétaire (ou équivalent). Dans le Contrat et l'Annexe  sur la sécurité de l’information, les références aux Informations confidentielles de GSK ou  aux Données de GSK incluent les Informations personnelles de GSK. 

« Législation en matière de protection des données » désigne : (a) le Règlement Général  sur la Protection des Données (UE) n°2016/679 relatif à la protection des personnes  physiques à l'égard du traitement des données à caractère personnel et à la libre circulation  de ces données (RGPD) ainsi que toute loi ou réglementation applicable qui met en œuvre  et/ou exerce des dérogations, remplace ou supplante le RGPD (RGPD) ; (b) la loi n° 78-17  du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés; (c) le RGPD UK tel  qu’adapté par la loi britannique de 2018 sur la protection des données personnelles, la loi  californienne de 2018 sur la protection de la vie privée des consommateurs (Cal. Civ. Code  1798.100 – 1798.199 (CCPA) (d) toutes les autres lois concernant le traitement  d’informations à caractère personnel. 

« Plan de sécurité » désigne : l'annexe sécurité de l’information jointes aux présentes en  tant qu'Annexe 1. 

Société Affiliée concernée désigne : chaque Société Affiliée de GSK qui bénéficie des  Produits et/ou Services en tant que tiers (dont la liste sera fournie par GSK au Fournisseur sur demande). Une Société Affiliée est toute entité qui, à l'égard de toute autre entité, est  contrôlée par, sous contrôle commun ou contrôle cette autre entité. Contrôle et ses dérivés  signifient la propriété (directe ou indirecte) de la majorité des actions avec droit de vote de  cette entité ou est la capacité (directe ou indirecte) de nommer la majorité des  administrateurs de cette entité ou l'autorité qui dirige la gestion ou les politiques de cette  entité, par contrat ou autrement. 

Les termes « responsable du traitement », « analyse d’impact relative à la protection  des données », « personne(s) concernée(s) », « données à caractère personnel », « violation de données à caractère personnel », « sous-traitant », « traitement », « prestataire de services » et « autorité de contrôle concernée » sont définis  conformément à la Législation en matière de protection des données applicable. Toute  référence à GSK désigne l'entité contractante GSK partie au Contrat, ainsi que les Sociétés  Affiliées concernées.

DISPOSITIONS RELATIVES AU SOUS-TRAITANT DES DONNEES 

Dans l’éventualité où le Fournisseur agit comme sous-traitant des Informations personnelles  de GSK conformément à la Législation en matière de protection des données applicable, les  dispositions suivantes s’appliquent :  

1. Chaque Partie doit se conformer à ses obligations en vertu de la Législation en matière  de protection des données applicable. GSK et le Fournisseur reconnaissent, en ce qui  concerne les Informations personnelles de GSK traitées dans le cadre du Contrat, que  GSK est le Responsable du traitement et le Fournisseur est le Sous-traitant. Aux fins du  CCPA, le Fournisseur est un prestaire de services pour GSK et le traitement Informations  personnelles de GSK par le Fournisseur ne sera effectué que pour les finalités  déterminées par GSK conformément à la présente Annexe, qu'aucune contrepartie  monétaire ou autre contrepartie de valeur n'est fournie par le Fournisseur à GSK et que,  par conséquent, GSK ne vend pas les Informations personnelles de GSK au Fournisseur au sens du CCPA. 
2. Le Fournisseur doit se conformer à ce qui suit en ce qui concerne les Informations  personnelles de GSK : 
   a) traiter les Informations personnelles de GSK uniquement selon les instructions  écrites légitimes de GSK et uniquement aux fins des Produits et/ou Services par le  Fournisseur pour GSK en vertu du Contrat pour la durée du Contrat ou toute période  supplémentaire indiquée dans le Contrat, le cas échéant ; 
   b) Ni le Fournisseur, ni aucun de ses employés, agents, consultants ou assignés ne  doit traiter les Informations personnelles de GSK à leur propre avantage commercial  sous quelque forme que ce soit ; 
   c) mettre en œuvre et maintenir des mesures de sécurité techniques et  organisationnelles appropriées, incluant sans s’y limiter, les mesures énoncées  dans le Plan de sécurité. Toute référence dans ce plan aux « Données GSK » inclut les Informations personnelles de GSK ; 
   d) garder confidentielles les Informations personnelles de GSK conformément à cette  Annexe et au Plan de sécurité des informations confidentielles de GSK qui  englobent les Informations personnelles de GSK ; 
   e) imposer des obligations de confidentialité équivalentes aux obligations prévues par  le Contrat au personnel concerné ayant accès aux Informations personnelles de  GSK ; 
   f) ne pas engager un sous-traitant (« sous-traitant ultérieur ») sans l'approbation écrite  préalable de GSK (et à ces fins, GSK consent aux catégories suivantes de sous traitants ultérieurs : les fournisseurs de services d'infrastructure d'hébergement, le  recours à des entrepreneurs individuels et les sous-traitants ultérieurs portés à la  connaissance de GSK au moment de la conclusion du Contrat) et ne transférer les  Informations personnelles de GSK à ces sous-traitants ultérieurs approuvés qu'en  vertu d'un contrat écrit qui impose des obligations conformes à celles énoncées  dans la présente Annexe. Lorsque le Fournisseur désigne un sous-traitant ultérieur  conformément à la présente clause 2(f), il demeure responsable des actes et  omissions du sous-traitant ultérieur ; 
   g) fournir à GSK une assistance raisonnable pour (i) réaliser toute analyse d'impact  sur la protection des données et/ou analyse d’impact sur le transfert des données exigées par la loi (ii) respecter les droits des personnes concernées ; et (iii) répondre  aux demandes de toute autorité de contrôle concernant les Informations  personnelles de GSK ; 
   h) informer GSK sans délai après avoir pris connaissance d'une violation des données  personnelles concernant toute Information personnelle de GSK et fournir à GSK une  assistance en rapport avec cette violation ; 
   i) informer GSK sans délai s'il reçoit une demande écrite (i) d'une personne concernée  pour exercer l'un de ses droits en relation avec les Informations personnelles de  GSK en vertu de la Législation sur la protection des données ; ou (ii) d'une autorité  de contrôle en relation avec le traitement des Informations personnelles de GSK ;  
   j) sauf disposition contraire dans le Contrat, restituer ou détruire toutes les  Informations personnelles de GSK en sa possession ou sous son contrôle (y  compris les Informations personnelles de GSK traitées par des sous-traitants  autorisés) à la résolution ou à l'expiration du Contrat; et 
   k) sur demande écrite de GSK, fournir à GSK les informations raisonnables  nécessaires pour démontrer la conformité à la présente Annexe, ce qui peut inclure  tout rapport d'audit de sécurité d'un tiers disponible.

DISPOSITIONS RELATIVES AU RESPONSABLE DU TRAITEMENT 

Dans l’éventualité où le Fournisseur agit comme Responsable du traitement des Informations  personnelles de GSK conformément à la Législation en matière de protection des données  applicable, les dispositions suivantes s’appliquent :  

1. Chaque Partie agit comme un Responsable du traitement indépendant et doit se  conformer à ses obligations en vertu de la Législation en matière de protection des  données applicable. GSK et le Fournisseur reconnaissent, en ce qui concerne les  Informations personnelles de GSK traitées dans le cadre du Contrat, aux fins du CCPA,  qu'aucune contrepartie monétaire ou autre contrepartie de valeur n'est fournie par le  Fournisseur à GSK et que, par conséquent, GSK ne vend pas les Informations  personnelles de GSK au Fournisseur au sens du CCPA. 
2. Si le Fournisseur reçoit de la part d'une autorité de contrôle concernée une  communication directement ou indirectement liée (a) au traitement par le Fournisseur des Informations personnelles de GSK ; ou (b) à un possible non-respect de la  Législation en matière de protection des données en relation avec le traitement des  Informations personnelles de GSK, le Fournisseur, dans la mesure où la loi applicable  le permet, transmet sans délai cette communication à GSK, et coopère et assiste  raisonnablement GSK en relation avec cette communication. 
3. Si une personne concernée demande par écrit à l'une des Parties d'exercer l'un de ses  droits en vertu de la Législation en matière de protection des données en rapport avec  les Informations personnelles de GSK, la Partie destinataire de la demande y répond  conformément aux dispositions de la Législation en matière de protection des données.  Dans la mesure où la demande concerne le traitement d'Informations personnelles  partagées par l'autre Partie, la Partie destinataire : (i) transmet rapidement et sans retard  injustifié la demande à l’autre Partie, et (ii) coopère et fournit toute l'assistance  raisonnable en lien avec cette demande pour permettre à l’autre Partie d'y répondre  conformément à la Législation en matière de protection des données. 
4. Sans préjudice des dispositions du Plan de sécurité, dès qu'il a connaissance d'une  violation concernant les Informations personnelles de GSK, le Fournisseur doit (a)  notifier promptement GSK et fournir à GSK une description raisonnable de la violation ;  et (b) ne pas publier de communication concernant la violation sans consulter GSK au  préalable, à l’exception d’une notification d’une violation à une autorité de contrôle dans  la mesure requise par la Législation sur la protection des données applicable.

TRANSFERT INTERNATIONAUX DE DONNEES 

Lorsque GSK, agissant en tant qu'exportateur de données, transfère des Informations personnelles GSK au Fournisseur, agissant en tant qu'importateur de données, d'une  manière qui constitue un transfert international de données restreint en vertu de la Législation sur la protection des données applicable, les deux Parties conviennent de respecter les  Clauses contractuelles types applicables couvrant la relation entre les Parties : 

• L'annexe de la décision d'exécution de la Commission relative aux clauses  contractuelles types pour le transfert de données à caractère personnel vers des pays  tiers en vertu du Règlement (UE) 2016/679 du Parlement européen et du Conseil (ci après l’ « Annexe ») avec son MODULE 1 : transfert de responsable du traitement à  responsable du traitement (disponible sur le site https://eur-lex.europa.eu/legal content/FR/TXT/PDF/?uri=CELEX:32021D0914&from=FR) et intégrée aux  présentes par référence, telle que mise à jour, modifiée, remplacée ou supprimée de  temps à autre par la Commission européenne et/ou tout accord international de  transfert de données correspondant ou équivalent aux Clauses contractuelles types  adopté par l'autorité de contrôle au Royaume-Uni ou tout avenant à un tel accord (« Clauses contractuelles types de Responsable du traitement à Responsable du  traitement ») ; 
• L'Annexe avec son MODULE 2 : transfert de responsable du traitement à sous traitant (disponible sur le site https://eur-lex.europa.eu/legal content/FR/TXT/PDF/?uri=CELEX:32021D0914&from=FR) et incorporée ici par  référence, telle que mise à jour, modifiée, remplacée ou supprimée de temps à autre  par la Commission européenne et/ou tout accord international de transfert de  données correspondant ou équivalent aux Clauses contractuelles types adopté par  l'autorité de contrôle au Royaume-Uni ou tout avenant à un tel accord (« Clauses  contractuelles types de Responsable du traitement à Sous-traitant »). 

« Clauses contractuelles types » désigne l'Annexe ainsi que les Clauses contractuelles types de Responsable du traitement à Responsable du traitement et les Clauses contractuelles types de Responsable du traitement à Sous-traitant. 

Aux fins des Clauses contractuelles types, les Parties conviennent de ce qui suit : • L'option entre crochets de la clause 11 « Voie de recours » ne s'applique pas. 

• L'option 1 est sélectionnée pour la clause 17 « Droit Applicable » et le droit français s'applique. 
• Les tribunaux français seront compétents en vertu de la clause 18 « Election de for et juridiction ».  

Aux fins des Clauses contractuelles types de Responsable du traitement à Responsable du  traitement et des Clauses contractuelles types de Responsable du traitement à Sous-traitant applicables, veuillez noter ce qui suit : 

• Annexe 1 (Exportateur et Importateur) : GSK ou les bénéficiaires concernés de GSK des Produits et/ou Services situés dans l'UE et/ou au Royaume-Uni dans le cadre du Contrat avec le Fournisseur est un Exportateur de données en ce qui concerne les Informations personnelles GSK. Le Fournisseur est un Importateur de données en ce qui concerne les Informations personnelles GSK.
• Annexe 1 (Description des transferts) :veuillez consulter la définition d’Information  personnelle et les Produits et/ ou Services devant être réalisées par l'Importateur.  Aucune donnée sensible n'est transférée. La fréquence du transfert est continue. La  nature des activités de traitement et les objectifs du transfert sont définis dans le ou les  contrats conclus avec le Fournisseur. Les données seront conservées conformément  aux politiques de conservation des données de l'Exportateur de données. 
• Annexe 1 (Autorité de contrôle compétente) : comme indiqué à la clause 13 des Clauses  contractuelles types de Responsable du traitement à un Responsable du traitement et  des Clauses contractuelles types de Responsable du traitement à Sous-traitant. 
• Annexe 2 (Mesures techniques et organisationnelles) : veuillez-vous reporter au Plan de sécurité. 
• [Annexe 3 (Liste des sous-traitants ultérieurs)] 

Les Parties conviennent que l'option 2 de la clause 9 « Recours à des sous-traitants  ultérieurs » des Clauses contractuelles types de Responsable du traitement à Sous-traitant s'applique lorsque le Fournisseur engage un sous-traitant ultérieur et que le Fournisseur et  le sous-traitant ultérieur conviennent de se conformer aux Clauses contractuelles types d’un  Sous-traitant à un Sous-traitant, c’est à dire i) l'Annexe avec son MODULE 3 : transfert de  sous-traitant à sous-traitant (disponible sur le site https://eur-lex.europa.eu/legal content/FR/TXT/PDF/?uri=CELEX:32021D0914&from=FR) incorporée ici par référence, telle que mise à jour, modifiée, remplacée ou supprimée de temps à autre par la Commission  européenne et/ou tout accord international de transfert de données correspondant ou  équivalent aux Clauses contractuelles types adopté par l'autorité de contrôle au Royaume Uni ou tout avenant à un tel accord. 

Si le Fournisseur ne pense pas pouvoir satisfaire aux exigences raisonnablement définies  par GSK, il doit immédiatement informer GSK de son incapacité et GSK a le droit de résoudre le Contrat. 

Les Parties conviennent que les Clauses contractuelles types conclues produisent leurs  effets dans les pays en dehors de l'Espace économique européen où (i) leurs dispositions  sont reconnues comme une garantie appropriée en matière de transferts internationaux  d’informations à caractère personnel vers des pays non adéquats ou (ii) la Législation en  matière de protection des données requiert l'existence de dispositions contractuelles pour  protéger les transferts internationaux d’Informations personnelles. Dans l'interprétation des  Clauses contractuelles types, dans ces pays, toute référence à l'expression "État membre  dans lequel l'exportateur de données est établi" sera interprétée comme désignant le pays  dans lequel l'entité GSK est établie ; et toute référence au Règlement (EU) 2016/679 sera  considérée comme désignant la loi du pays dans lequel GSK est établie en dehors de l'EEE.  Toute référence à un pays adéquat désigne tout pays qui est réputé offrir, ou qui offre  autrement, un niveau de protection équivalent à la Législation en matière de protection des  données applicable, pays en dehors de l'Espace économique européen pour lesquels les  Clauses contractuelles types couvriront les transferts d’informations à caractère personnel.

ANNEXE 1 

SÉCURITÉ DE L'INFORMATION 

La présente Annexe relative à la sécurité de l’information fait partie du Contrat entre GSK et le  Fournisseur. En cas de conflit entre les termes de la présente Annexe et les termes du Contrat, la  présente Annexe prévaudra. Les termes commençant par une majuscule et non définis dans la  présente Annexe auront la signification qui leur est attribuée dans d’autres parties du Contrat. 

1. Définitions. 

« Données GSK » désignent toutes les données ou informations fournies par ou au nom de GSK,  ou obtenus par le Fournisseur ou le Personnel du Fournisseur, dans le cadre de la négociation et  de l’exécution du Contrat ou de l'exécution des obligations du Fournisseur en vertu du Contrat, y  compris toutes les données et informations qui (a) sont créées, générées, collectées ou traitées par  le Personnel du Fournisseur dans le cadre de l'exécution des obligations du Fournisseur en vertu  du Contrat ; ou (b) résident dans ou sont accessibles par le biais des systèmes d'information de  GSK ou des systèmes d’information du Fournisseur, ainsi que les données et informations drivées  de ce qui précède. 

« Environnement du Fournisseur » désigne la combinaison de matériel, de logiciels, de systèmes  d'exploitation, de systèmes de base de données, d'outils et de composants de réseau utilisés par ou  pour le compte du Fournisseur afin de recevoir, maintenir, traiter, stocker, accéder ou transmettre  les Données GSK. 

« Personnel du Fournisseur » désigne tout personnel engagé ou employé par le Fournisseur et  ses sous-traitants pour exécuter une partie des Produits et/ou Services. 

« Traitement » désigne toute opération ou ensemble d’opérations effectuées sur toute information  ou donnée, que ce soit ou non par des moyens automatisés, tels que la collecte, l’enregistrement,  l’organisation, la structuration, le stockage, l’adaptation ou l’altération, l’extraction, la consultation,  l’utilisation, la divulgation par transmission, la diffusion ou toute autre mise à disposition, l’alignement  ou la combinaison, la restriction, l’effacement ou la destruction.  

2. Responsabilités. Le Fournisseur doit : (a) utiliser des contrôles de cryptage rigoureux pour  protéger toutes les Données GSK en transit vers l’Environnement du Fournisseur ou en dehors de  celui-ci vers des réseaux de tiers contre une divulgation, un accès ou une modification non autorisés  (b) maintenir des processus de contrôle conformes aux meilleures pratiques de l'industrie pour  détecter, prévenir et se rétablir de logiciels malveillants, de virus et de logiciels espions, incluant la  mise à jour à intervalles réguliers des logiciels anti-virus, anti-malveillants et anti-espions ; (c)  maintenir des politiques de gestion des accès, des procédures et des contrôles techniques  conformes aux meilleures pratiques de l'industrie pour s'assurer que tous les accès aux Données  GSK sous son contrôle sont dûment autorisés. 

3. Violation de sécurité. Le Fournisseur signalera à GSK par e-mail à cstd@gsk.com tout(e)  utilisation, perte, destruction, divulgation, accès, corruption, modification, vente, location ou autre  Traitement accidentel, non autorisé ou illégal vérifié de toute Donnée GSK (une « Violation de  sécurité ») dans les vingt-quatre (24) heures suivant la vérification du Fournisseur. Le Fournisseur s’assurera que tous les incidents de sécurité impliquant des Données GSK soient gérés  conformément aux procédures appropriées de réponse aux incidents. Le Fournisseur travaillera  avec GSK en toute bonne foi pour identifier la cause racine et remédier à la Violation de sécurité.